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云 存储 中 基于 MHT 的 动态 数据 完整 性 验证 与 恢复 方案 
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摘 要 : 针对 云 服务 器 上 存储 数据 完整 性 验证 过 程 中 的 高 通信 开销 和 动态 数据 验证 问题 , 提出 一 种 基于 Merkle 哈 希 树 
(MHT) 的 动态 数据 完整 性 验证 与 恢复 方案 。 首先, 基于 MHT 构建 了 一 种 新 型 分 层 认 证 数据 结构 , 将 数据 块 的 每 个 副本 
块 组 织 成 副本 子 树 ， 以 此 大 幅 降 低 多 副本 更 新 验证 的 通信 开销 。 然 后 ， 在 数据 验证 中 ， 融 入 了 对 服务 器 安全 索引 信息 
的 认证 ， 以 此 避免 服务 器 攻击 。 最 后 ， 当 发 现 数据 损坏 时 ， 通 过 二 分 查找 和 Shamir 秘密 共享 机 制 来 恢复 数据 。 实 验 结 
果 表明 ， 该 方案 在 验证 过 程 中 能 有 效 降低 计算 和 通讯 开销 ， 并 能 够 很 好 地 支持 数据 的 动态 操作 。 
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Abstract: For the issues that the high communication overhead and dynamic data verification in the storage data integrity 


verification process on the cloud server, this paper proposed a dynamic data integrity verification and recovery scheme based 


on Merkle hash tree (MHT) . Firstly, it constructed a new layered authentication data structure based on MHT, and organized 
© each copy block of the data block into a copy sub-tree, thereby greatly reducing the communication overhead of multi-copy 
全 Update verification. Then, it certified the server Security index information authentication into the data validation, in order to 
avoid server attacks. Finally, it recovered the data by dichotomous discovery and Shamirs secret sharing mechanism when the 
data ls corrupted. The experimental results show that this scheme can effectively reduce the computational and communication 
overhead and can Support the dynamic operation of data in the verification process. 
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出 了 一 种 基于 BLS 签名 和 Merkle 哈 希 树 认证 数据 结构 的 方案 ， 
0 引言 可 以 支持 公共 审计 和 数据 动态 ， 但 其 不 能 抵御 服务 器 伪造 认证 
云 计算 是 新 一 代 的 分 布 式 计算 平台 ， 对 于 大 数据 的 存储 和 交 志 。 文献 中] 同样 通 玉 二 Merice 只 项 畔 从 下 数据 结构 中 的 
处 理 提供 了 很 大 便利 中 。 云 存储 的 安全 性 是 云 计算 主要 关心 的 i 
问题 之 一 ， 安 全 性 的 三 个 主要 方面 是 机 密 性 、 完 整 性 和 可 用 性 。 人 
。 存 储 在 云 存储 服务 器 (CSP) 上 的 大 数据 集 本 质 上 是 动态 的 ， 本 对 维护 多 个 副本 的 动态 数据 集 进 行 有 效 公共 审计 。 存 储 多 个 
因此 ， 使 一 些 公共 审计 机 制 等 云 安全 机 制 支持 副本 是 远程 云 存储 中 提高 可 徘 性 和 可 用 性 的 常用 第 各 中。 下 
el. 高 度 动态 的 数据 ， 每 次 更 新 都 会 导致 更 新 每 个 副本 。 考 虑 到 当 
公共 审计 机 制 是 用 来 对 外 部 数据 进行 完整 性 验证 。 凭 借 可 前 审计 方案 中 的 更 新 验证 具有 OC1og 1) 通信 复杂 度 ， 逐 个 验 
证 明 数 据 持 有 (PDP) 和 可 检索 证 明 (POR)， 数 据 拥有 者 或 第 三 。 ”证 这 些 副本 在 通信 方面 将 是 非常 曲 贵 的 。 基 次， 目前 的 动态 公 
方 囊 计 人 员 (TPA) 可 以 验证 其 数据 的 完整 性 , 而 无 尖 检 索 其 数据 共 审计 方案 由 于 缺乏 块 索引 认证 ,容易 受到 恶意 服务 器 的 攻击 。 
回 。 现 有 的 公共 审计 机 制 已 经 可 以 支持 对 动态 更 新 数据 进行 验 为 此 , 本 文 提出 了 一 个 基于 Merkie 哈 希 树 (MHT) 的 多 副本 
证 , 例如 文献 [6] 使 用 了 一 种 基于 层级 的 认证 跳 表 技术 (RASD) 作 动态 公共 审计 方案 ， 通 过 一 个 新 设计 的 认证 数据 结构 解决 上 述 
为 认证 数据 结构 , 提出 了 一 种 支持 动态 数据 更 新 验证 的 PDP 方 。 ”问题 。 本 文 的 主要 研究 贡献 如 下 : 
案 。 但 是 ， 可 变 大 小 的 文件 块 在 其 框架 中 不 受 支 持 。 文 献 [7] 提 a) 为 了 解决 多 副本 云 存 储 种 数据 更 新 的 验证 效率 问题 , 提 
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更 新 验证 


种 基于 Merkle 哈 希 树 的 多 副本 公共 审计 方案 , 其 
数据 块 的 所 有 副本 块 被 组 织 成 相同 的 副本 子 树 ， 以 此 大 幅 
的 通信 开销 。 同 时 , 在 基于 Merkle 哈 希 树 在 动态 数据 


中 每 个 


降低 


公开 审计 中 ， 融 入 了 对 服务 器 安全 索引 信息 的 认证 ， 以 此 避免 


服务 器 攻击 。 


b) 设计 了 一 种 能 够 一 次 性 验证 所 


服务 器 端 也 可 以 减少 额外 的 存储 开销 。 


机 制 来 ; 
1 问题 描述 与 分 析 


多 副本 验证 


次 复数 据 。 


1.1 


存储 多 个 副本 是 云 存储 服务 商 的 默认 设置 ， 将 副本 存储 在 
不 同 的 服务 器 ， 以 便 用 来 将 用 户 数据 从 服务 故障 中 


副本 的 验证 机 制 


且 在 


c) 当 完整 性 验证 失败 时 ,融入 了 损坏 数据 块 定位 和 恢复 过 
程 ， 即 通过 二 分 查找 来 定位 损坏 数据 块 , 通过 Shamir 秘密 共享 


FN 


次 复 。 


户 


上 
/让 


验证 多 个 副本 完整 性 的 直接 方法 是 将 它们 作为 单独 的 文件 存储 


逐一 验证 。 


前 ， 


是 构建 一 种 支持 更 新 的 认证 数据 结构 (ADS)。 对 于 
1 为 块 的 总 数 ， 当 文件 很 大 时 其 非 
当 每 个 数据 其 
I0， 这 将 造成 高 通信 成 本 。 
将 每 个 块 的 所 有 副本 链接 在 一 起 。 


复杂 性 为 Jog (n)， 
更 重要 的 是 通信 复杂 性 ， 
每 个 副本 中 相应 的 块 
个 新 的 ADS 解决 这 个 问题 ， 


用 于 支持 副本 数据 动态 修改 的 最 常用 


技术 


发 生 更 新 时 将 需 


ADS 的 存储 
常 大 。 


更 新 


本 文 试图 用 一 


文献 [11] 中 提出 了 一 个 多 副本 验证 方案 ,命名 为 MR-PDP， 


将 每 个 块 和 所 有 副本 块 


只 关联 一 个 同 态 线性 验证 器 (HLA)， 效 


率 较 高 。 虽 然 这 种 方法 可 以 带 来 很 多 好 处 ， 如 服务 器 端 存 储 成 


本 较 低 , 客 


户 端 预 处 理 时 间 较 短 ,但 用 第 三 方 审计 


上 人员 验 证 时 ， 


存在 安全 性 问题 。 验 证 过 程 需要 私有 的 随机 数 i ; ,如果 被 泄露 ， 


另 一 方 将 知道 如 何 计算 基于 任何 副本 的 原始 消息 ， 以 及 刀 


于 原始 文件 块 来 计算 任意 副本 。 更 糟 的 是 , 如 果 
所 知 ， 则 云 服 务 器 将 能 够 伪造 任何 副本 块 的 完整 性 证 
>， 从 本 文 的 考虑 ， 多 副本 验证 方案 应 同时 包括 以 


总 而 言 


[0 何 基 


7 ;被 云 有 
明 。 


R 务 器 


下 内 容 : 


a) 能 够 支持 公开 审计 和 动态 数据 更 新 。 使 第 三 方 审计 人 员 


能 够 在 不 需要 任何 秘密 信息 的 情况 下 为 客户 进行 常规 验证 ， 


允许 客户 验证 数据 更 新 。 


次 对 所 有 


验证 ， 如 果 任 何 副本 失败 ， 服 务 器 会 及 时 通知 。 


c) 能 够 支持 单 副 
行 验证 ， 因 为 验证 者 可 能 


只 想 知道 对 了 


有 一 个 副本 是 完整 的 。 


1.2 安全 的 动态 公共 审计 
色 


的 副本 进行 有 效 的 


本 验证 。 可 以 对 某 些 特定 块 的 任意 副本 进 


审核 存储 在 CSP 上 的 数据 ， 三 方 之 间 


不 完全 信任 。 


图 


MHT 或 RASL 等 认证 


F 不 重要 的 数据 是 否 至 少 


到 1 显示 了 客户 /数据 拥有 者 (DO)、 云 服务 提供 商 (CSP) 和 


第 三 方 审 计 者 (TPA) 在 公开 审计 中 的 关系 。 其 中 客户 授权 TPA 


入 /删除 操作 将 导致 所 


等 : 云 存 储 中 基于 MHT 的 


证 数据 块 的 内 容 和 更 新 4。 对 块 索引 进行 验证 可 以 避 
务 器 根据 另 一 个 完整 的 块 和 其 
态 数据 的 审计 ， 在 验证 器 计算 中 需要 


包含 块 索引 的 任何 哈 希 值 ， 


Chi 


AAI 来 伪造 证 


太 


== 


上 朋 。 其 


naXiv 合 作 期 刊 
各 喜 据 完整 性 验证 与 复方 案 


恶意 服 
次 ， 对 于 动 
块 的 本 身 哈 希 值 ， 而 不 是 
列 如 玉 (让 ) 或 可 (Vv 四 i) ， 否 则 插 


有 一 个 哈 希 


方法 是 通过 ADS， 


文 南 


值 及 (1m ) 。 作 为 客 


户 端 。 换 名 话说， 服务 器 可 以 采 : 
该 被 验证 的 块 ， 这 就 
X 献 [13] 提 出 的 


下 层 块 改变 。 因 此 ， 每 个 验证 者 都 将 具 


服务 器 可 以 用 另 


述 攻 击 具有 抵抗 性 。 
成 者 ，m 是 要 审核 上 
态 数据 的 公共 审计 方案 中 。 


如 前 所 述 ， 


j 在 验 ; 


值 将 被 ) 


服务 器 的 计算 来 验 订 


E 者 中 以 支持 动态 数据 。 


户 验 证 
个 
取 任 何其 
影响 了 完整 性 验证 的 结果 。 

RASL 方法 可 以 为 索引 提供 
其 中 认证 者 工 被 计算 为 下 = g”，8 是 生 
的 消息 。 但 是 RASL 不 能 直接 应 


如 (7 ) 正确 性 


的 唯一 


合 希 和 AAI 来 


次 驴 客 


他 的 完整 块 来 代替 应 


认 订 


F， 这 对 L 


消 


到 支持 动 
息 块 及 (1m ) 的 哈 希 


不 再 


存储 文件 块 的 哈 


E。 为 了 实现 索引 信 


省 本 


希 


此 ， 客 户 需 要 通过 云 


的 可 验证 性 ， 叶 节点 


值 ， 而 


是 以 


f(») = H(I(v),r(v),x(v),f (rei(v))) 的 形式 连接 


多 个 哈 希 值 。 因 此 ， 服 务 器 需要 发 下 


LU 、 


端 进 行 认证 
RASL 


中 存在 一 个 缺陷 ， 即 当 一 条 验证 路 径 上 具 


(Vv) 入 (m) 给 客户 


多 个 叶 


节点 。 在 这 种 情况 下， 如 果 需 要 验证 一 个 数据 库 ， 则 服务 器 不 


仪 需 要 返 区 


该 数据 块 上 的 所 有 三 个 值 ， 而 且 还 需要 计算 和 传递 


所 有 相同 路 径 上 数据 库 的 验证 值 。 为 此 ,本文 选择 Merkle 哈 希 


树 来 构建 ADS 。 
2 


2.1 符号 定义 


双 线 性 配对 和 Merkle 哈 希 树 


文中 所 涉及 的 一 些 符号 及 其 售 义 描述 如 表 1 所 示 。 
表 1 文中 所 涉及 的 符 写 及 含义 


符号 合 义 
F 客户 端 上 传 的 原始 数据 文件 ， 存 储 在 CSP 中 。 
1710; 下 的 第 1 个 文件 块 ， 总 共有 个 块 。 
F 文件 五 的 第 j 个 副本 。 
b, 副本 天 的 第 站 个 块 。 
于 生成 副本 块 b，; 的 填充 消息 与 原始 文件 块 
号 1 的 关系 。 
T 车 于 112 开发 的 MR-MHT 。 
T 基于 71; 的 了 的 副本 - 子 树 。 
H(m) 消息 77 的 哈 希 值 。 


存储 在 节点 V 中 来 


MA MR-MHT 


值 。 
苘 点 的 层级 。 


| 


可 以 从 Y 到 达 叶 子 层 


;的 同 态 标签 。 


每 块 的 段 数 。 


中 的 最 大 节点 数量 。 


了 的 


人 2 中 的 第 大 个 元 组 ， 其 中 /是 哈 希 值 ，[， 是 
(Verge di ) 节点 的 层级 ， G 是 层级 值 ，d ,指示 该 节点 是 左 
子 节点 还 是 右 子 节点 。 
用 于 验证 的 变量 元 组 。 对 于 成 功 的 验证 , 在 用 (2 
进行 迭代 计算 之 后 ，4 将 成 为 总 文件 块 的 数量 ， 
77 将 成 为 根 值 尺 ， 吉 将 成 为 块 案 引 ，C 将 成 为 
反 向 块 索引 ， 即 从 右边 的 块 数 。 


CN) 


2.2” 双 线性 配对 
双 线 性 配对 在 用 于 建立 和 验证 同 态 验证 器 的 公共 审计 方 

案 中 是 必 不 可 少 的 吃 。 假 设 一 个 群 G 是 一 个 间隙 Diffie- 
Hellman(GDH) 群 ， 它 的 质数 为 已 。 双 线性 映射 是 一 个 构造 
e:CXC 一 07 的 映射 ， 其 中 Gy 是 具有 素数 的 乘法 循环 群 。 
个 有 用 的 双 线 性 映射 e 应 该 具有 以 下 属性 : 
a) 双 线性 , Ym,neG 过 e(m",n) 坟 e(mn); 


op 


b) 非 退化 性 ， 

c) 可 计算 性 , e 应 该 是 有 效 可 计算 的 ; 

d) 安全 性 ,计算 C7 中 的 离散 对 数 问题 是 困难 的 。 
2.3 ”Merkle 哈 希 树 


vmeG, mz0>e(m,n)zl; 
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录用 稿 李 施 伟 ， 等 : 云 存 储 中 基于 MHT 的 动态 数据 完整 性 验证 与 恢复 方案 
用 于 RST 下 中 的 所 有 中 间 节 点 的 元 组 cs 
rc I | ee 3 ”提出 的 多 副本 动态 数据 验证 方案 
h,l,g,t!. 
| 3.1 多 副本 Merkle 哈 希 树 结构 
S18 AvTH 于 授权 TPA 的 签名 。 多 副本 Merkle 哈 希 树 是 一 种 新 颖 的 认证 数据 结构 ， 专 为 
9, 用 作 712 的 辅助 认证 信息 的 元 组 。 数据 更 新 以 及 对 块 索引 进行 验证 而 设计 。 基 于 具有 3 个 块 和 1 
家 ee 个 副本 文件 构建 的 一 个 多 副本 MHT 的 示例 如 图 3 所 示 。 


层 0 cs 


Wo 
-JO 和 @ 

图 3 一 个 多 副本 MHT 的 例子 

多 副本 MHT 与 传统 MHT 的 差异 如 下 : 

a) 存储 在 叶 节点 中 的 值 是 所 存储 的 副本 块 的 哈 希 值 。 在 多 
副本 MHT 中 , 叶 节 点 代表 副本 块 b ;, 即 第 i 个 文件 块 的 第 j 
个 副本 。 

b) 存 储 在 非 叶 节点 中 的 值 是 由 其 子 节点 的 哈 希 值 和 另外 
两 个 索引 1(v) 和 x (v) 计算 得 来 的 。1(v) 是 节点 的 层级 ， 


r(v) 是 可 以 到 达 的 叶子 节点 的 最 大 数目 。 这 些 层级 是 从 上 


到 下 的 顺序 定义 的 ， 根 节点 R 的 层级 定义 为 0, 其 子 节 点 的 层 
级 定义 为 1。 叶子 节点 中 存储 的 值 为 


H(1]N1(B,)H (5B,)) ， 在 每 个 非 叶 节 点 中 的 值 为 


玖 (站 mo 由 iow ) ， 基 中 hon 和 有 bio 分 别 表示 存储 在 其 


Merkle 哈 希 树 类 似 于 二 叉 树 ， 在 叶子 节点 存储 数据 信息 ， 
非 叶子 节点 的 值 是 通过 对 其 叶子 节点 值 进行 哈 希 运算 得 到 ， 从 
底层 向 上 层 逐 步 运算 ， 得 到 根 节点 值 ， 用 来 描述 数据 信息 的 完 
整 性 09l。 每 个 节点 N 将 具有 最 多 两 个 子 节点 。 MHT 7 上 的 一 


个 节点 N 中 的 信息 被 构造 如 下 : 对 于 包含 文件 块 mm, 的 叶 节点 ， 
节点 值 计算 为 及 = 太 (1m;); Ni 和 WN, 的 父 节 点 被 构造 为 
,= 人 五 (及 加 ))。 叶子 节点 1m 的 


助 认证 信息 人 坪 其 


上 级 节点 选择 的 一 组 哈 希 值 ， 这 样 就 可 以 通过 (7 ,Q, ) 计算 
根 值 尺 。MHT 认证 数据 的 结构 如 图 2 所 示 。 
po ?认证 路 径 


验证 数据 块 


口 
AR 
人 /人 


Lm) hm) 人 Com) (om ) (ms) (en) fm ) hms) 


天 四 四 四 四 


四 775 站 网 7777 ms 


图 2 MHT 认证 数据 的 结构 


左 子 节点 和 右 子 节点 中 的 值 。 在 图 3 中 ， 根 据 本 文 的 定义 ， 
1(b; ) (对 于 所 有 叶 节点 ) 是 3，r (Bb ) =1。 例 如 ， 记 的 计算 
公式 如 下 ; 
m=H(r(a)N(a) Na(b ) Nab,)) 
=H(2|| 3 | h(bi) | h(b,)) 
且 h(bs)=H(1N4IH (5,)) 
= 豆 (6|| | ) 等 
c) 其 中 的 AAI Vi ;与 MHT 不 同 。 每 个 节点 上 包含 了 一 
oe 


i 层级 ，9 为 从 该 节点 可 到 达 叶 节点 的 最 大 数量 ，Q 用 来 指 
示 该 节点 到 根 节点 民 是 向 右 (0) 或 向 左 (1)。 例 如 ， 在 图 3 中 ， 


对 于 副 本 块 bi ， Oi 被 定 义 为 


(n(b,1),4,10),(n(b,,),4,10), 
( 


h(b,s),3,1,0),(h,1,6,0) 


， 它 的 验证 路 径 为 


{a(b,1),h(e),n(2),R!. 
4) 一 个 文件 块 的 所 有 副本 被 组 织 成 一 个 相同 结构 的 副本 子 
树 (RST)。 子 树 中 的 叶 节 点 数量 为 总 副本 数量 C。 副 本 块 是 独立 
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处 理 的 ， 每 个 副本 块 都 有 自己 的 验证 器 。 每 个 RST 的 根 ， 表 示 
为 用， 将 在 多 副本 验证 和 更 新 验证 中 发 挥 重要 作用 。 本 文 使 用 
Q, 来 表示 及 的 AAI。 另 外 ， 本 文 将 工 ; 定义 为 每 个 RST 中 所 
有 中 间 节 点 的 元 组 {有 h,7, q,t} 的 集合 ， 其 中 是 节点 的 序号 。 
于 副本 数量 较 少 (小 于 10)， 为 了 简化 描述 ， 本 文 假设 了 结构 
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数据 更 新 操作 PerformUpdate (UpdateReq ) : 

服务 器 将 UpdateRegq 解析 为 {Type,i, {Db!,) 。 根据 
更 新 请 求 对 文件 块 、 索 引 和 ADS 进行 更 新 。 请 注意 ，C2, 中 非 
叶 节 点 中 的 值 在 更 新 过 程 后 保持 不 变 。 

对 于 插入 和 删除 , 相 邻 RST 中 的 所 有 叶 节 点 的 层级 也 被 改 


存储 在 客户 端 和 TPA 端 , 这 适用 于 每 个 RST, 并 且 只 占用 可 和 忽 
各 的 存储 量 。 在 这 种 情况 下 ， 客 户 端 可 以 计算 出 工 ; ， 因 此 可 以 


3.2 初始 化 设置 过 程 
用 户 和 云 服务 器 将 首先 建立 通用 参数 ， 包 括 双 线性 映射 
e:GxG 一 Gy 和 一 个 密码 哈 希 函数 且 09。 


产生 密 钥 操 作 KeyGen (1* ) ， 客 户 端 生成 一 个 秘密 值 


Q EZ, 和 一 个 G 的 生成 器 8 ， 然 后 计算 v= 8“ ， 其 路 、 
8 是 公 钥 ，C 是 密 钥 。 另 一 个 签名 密 钥 对 {5pk, SSK} 是 根据 
指定 的 签名 方案 来 选择 的 , 其 签名 算法 被 表示 为 Sig () 。 该 算 
法 输出 {ssk,Q} 作为 密 钥 sk ，{5pk,v, 8} 作 为 公 钥 PK 。 

文件 预 处 理 操作 FilePreProc( 政 ,sk,c) ， 其 分 为 以 下 


三 个 步骤: 

a) 为 了 将 数据 集 存储 在 云 服 务 器 上 ， 客户 端 将 首先 根据 原 
台 文 件 制作 c 个 副本 。 为 了 能 够 验证 这 些 副本 ， 它 们 应 该 是 彼 
此 不 同 的 ， 否 则 服务 器 可 能 会 用 正确 的 证 据 来 回应 挑战 ， 从 而 


欺骗 客户 ， 
ee 


但 实际 上 只 存储 一 个 副本 。 原 始 文件 为 
m,,} ， 本 文 将 其 第 j 个 副本 文件 表示 为 


= 记忆 ee je [lc|] .副本 中 的 块 Bb ;从 1m 


转换 而 来 , 并且 转换 是 可 逆 的 , 即 客户 可 以 通过 任何 副本 来 


恢复 原始 文件 。 例 如 ， 可 以 选择 nn 个 伪 随 机 函数 W 来 计算 
随机 值 ;==W (J 中 i， 然后 输出 Bj) = 十 7)。 


oe 


个 认证 者 


c) 对 于 每 个 副本 块 b; ， 客 户 端 将 计算 一 


最 后 , 初始 化 过 程 输出 {5 ), 0 ), Sig} ,并 上 传 到 云 服务 
器 。 
3.3 ”数据 更 新 和 验证 过 程 

数据 动态 更 新 类 型 有 全 块 插入 (D， 删 除 (D) 和 修改 (VD)。 在 
多 副本 场景 中 , 当 需 要 更 新 块 见 时， 也 需要 以 相同 的 方式 更 新 
其 所 有 对 应 的 副本 块 Bb; 以 保持 一 致 性 。 同 时 客户 端 将 计算 新 
的 副本 块 b!; ， 然 后 将 它们 与 更 新 类 型 ([、D 或 M) 一 起 发 送 到 
服务 器 。 


根据 有 (Bb,，) 和 1(b,， 来 计算 工 ， 而 不 需要 从 服务 器 请 求 工 。 


变 ， 其 中 插入 操作 时 + 1， 删 除 操作 时 -1。 
例如 在 图 4 中 ， 随 着 { 世 的 插入 ，{ 轧 的 层级 增加 了 


1， 这 将 导致 所 有 {h(b ;)| 的 改变 ， 如果 再 将 插入 的 所 


{Bj 出 除 ， 旧 的 {如 j} 的 层级 减少 了 1 


A 
层 0 (R=ha | 
a BS Ss ~ 
层 1 万 ) a DS: 
RE 
层 2 ( pa ) Un ( 2 ) 人 ner| 
到 人 长 
六 
Bs (br) MD ( ) (ey ( | (on) 
< 2 
pa \ 
\ 
层 4 A 4 A 
\h(b’2n) 人 np) jp (hh(b;) 
SS 吧 9 昌 9 


对 于 插入 和 修改 操作 ， 服 务 器 计算 
={{a( b)) ,0 R'sig| 将 其 返回 给 客户 端 。 对 


于 删除 ， 服务 器 将 需要 另外 发 送 有 (b,， ) 。 


P 


update 


验证 更 新 操作 VerifyUpdate( pk, Paare) : 

为 了 验证 这 个 更 新 ， 客 户 端 首先 需要 解析 Pyaare。 令 人 
中 的 元 元 组 为 ( 所, 有 ,gd ) ， 对 于 每 个 节点 入 , 按 降序 排 
列 , 即 人 = 及),.…,l1 二 2,1 =1。 与 先前 定义 有 一 点 不 
同 ，4q 为 可 以 从 N, 到 达 的 RST 根 的 最 大 数目 ， 而 不 是 叶 节 
点 。 由 于 RST 的 结构 对 于 客户 是 已 知 的 , 将 能 够 分 别 计算 及 和 


加， 并 根据 有 (Bb; ) (从 服务 器 获得 ) 和 加 (b，， ) 计算 的 新 根 


[I 


a) 对 于 在 Q2, 中 包含 节 点 NV, 的 验证 路 径 上 的 节点 ， 客 
先 迭 代 计 算 元 组 ( 4 ,7 各, ) ,其 中 k=1,...,X 


如 果 di =1:4 = q+ 
m=H(h | | | 7) Gr = G+ 和 和 
ck =e。 或 者 : 如 果 di ==0: 轴 = 二 qi 二 + 机、 


7 大 =H(h A | 7 | f) a = 和 
0 和 
Gh =0。 


201804.02387V1 
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那么 在 得 到 1.174, )} 后 ， 客 户 端 将 用 Sig 验证 
尺 二 11。， 并 且 验 证 是 否 帮 .=i 一 1 和， 二 nn 一 i 能够 同时 成 
立 。 如 果 三 个 值 都 通过 了 这 个 认证 ,那么 Q; (也 是 b  ) 和 它 的 
索引 i 的 真实 性 可 以 被 证 实 。 

b) 对 于 删除 操作 , 客户 需要 验证 大 (已 ) ) .注意 , h' (Bb ) 


代表 相同 的 块 和 副本 ， 其 RST 的 根 被 存储 作为 《2 中 的 第 一 个 


元 组 。 客 户 端 有 足够 的 信息 通过 及 (b) ) 、@ 和 尺 来 验证 


(Bb; ) 。 对 于 插入 操作 ， 有 (Bb ) 已 经 与 2 一 起 验证 了 ， 


客户 可 以 安全 地 计算 新 的 有 ,。,， 而 不 需要 额外 的 验证 。 


c) 根据 RST 结构 ,客户 端 将 根据 有 h'(b, ; 计算 由， 然后 
根据 Q2, 和 有 计算 尺 ，， 并 将 尺 ,与 尺 进 行 比较 。 

以 上 验证 成 功 后， 客户 端 将 更 新 决 的 数量 nn， 并 计算 同 态 
标签 0; ) (已 ; 的 验证 者 )， 存 储 在 服务 器 上 。 

图 5 显示 了 数据 更 新 验证 的 过 程 ， 其 中 分 别 包含 了 全 块 捅 
入 、 删 除 和 修改 操作 时 的 更 新 验证 。 


插入 操作 


人 他 由 


客户 端 
基于 更 新 块 mm 计算 新 副本 
块 以 )， 并 发 送 更 新 请 求 。 


存储 服务 器 


用 以 创建 一 个 新 子 树 工 


更 新 叶 节 点 的 层级 
基于 有 (bn 计算 为， 用 人 (we )} ,Qsis} 人 
和 Qi 算 R, 用 R 验 < 

证 Sig。 
如 果 验 证 成 功 ,计算 01)， 且 Oy Sig 时 新 Qi 为 Ono 归 新 


Sig 为 sig'。 


生成 新 签名 sig'。 


(a) 数 据 块 插 入 的 更 新 验证 过 程 


修改 操作 

客户 端 | 存储 服务 器 
基于 更 新 块 mn, 计算 新 副本 {mi {5}) 
岂 bi! ,， 并 发 送 更 新 请 求 更 新 为 ,用 及 

和 QQ 计算 R' 。 

基 h(b jy 和 mQit 算 ,用 (f(b) ,QR sig} 人 
有 和 Qi 计算 R, 用 R 验 < 

证 Sig 。 


如 果 验 证 成 功 ， 用 久 ) 计 Se " es oe 
算 训 ， 用 及 和 Qi 计算 R 。 GO) sig 更 新 0;) 为 0;; ， 更 新 
i i i sig 为 sig' 。 
如 果 R ,=R' ， 计 算 Cr)， 
且 生 成 新 签名 sig“ 


(b) 数 据 块 修改 的 更 新 验证 过 程 


删除 操作 
客户 闪 存储 服务 器 
基于 更 新 块 m, 计 算 新 一 本 {D582j 
台 i 
类 加 训 潮 作 汉 时 源 汶 。 删除 并 ， 更 新 索引 并 计 
算 R'。 


基于 h(b,) 和 计算 ,用 {4(5)),n(b',)9 Rsig} 
及 和 Qi 计算 R， 用 RR 验 
证 sig。 
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如 果 验 证 成 功 , 用 Q, 和 RR 验 Sig 
证 有 以) 和 T;。 
且 生成 新 签名 Si8 


更 新 sig 为 sig'。 


(0) 数 据 块 删除 的 更 新 验证 过 程 
图 5 数据 块 的 更 新 和 验证 过 程 
3.4 抵御 服务 器 攻击 
本 文 验证 方案 中 的 标签 数据 都 是 通过 密码 哈 希 函数 万 来 


构建 。 为 此 ， 云 存储 中 会 存在 以 下 类 型 的 攻击 : 
有 ) 重 放 攻 击 。 当 用 户 更 新 一 个 数据 块 后 ， 会 相应 的 计算 一 

个 标签 及 (i) 。 如 果 存 在 一 个 恶意 的 存储 服务 器 ， 其 私自 更 改 

数据 ， 并 当 审 计 者 审计 数据 完整 性 时 ， 将 之 前 的 标签 于 (i) 提 

交 给 审计 者 进行 验证 。 

为 此 ， 本 文 在 数据 完整 性 验证 之 前 ， 先 通过 MHT 和 每 个 

副本 的 初始 向 量 w = {D 1), (Db;,),…,h(b; ;)) ， 分 别 计 


算 及 (已 )) 和 大 (已 /来 计算 罗 的 新 根 及 ,和 旧 根 ， 然 后 计 


算 标签 07 ;来 对 标签 进行 了 验证 。 
pb) 伪造 攻击 。 在 传统 验证 方案 中 , 对 于 每 个 副本 块 b, ，， 客 


户 端 将 计算 一 个 同 态 标签 0; ;。 那 么 ， 此 时 恶意 存储 服务 器 能 


够 伪造 一 个 标签 ， 例 如 0,)=(H(b) J 和 


,J 

Gj =( 吾 (Bb )) As 】 分 别 为 两 个 同 态 标签 。 恶 意 服务 器 
可 以 根据 同 态 标签 的 运算 规则 ， 制 造 一 个 假 标签 
0"=0,):0, a5 (0 ) s 

同样 ， 为 了 抵抗 伪造 攻击 ， 本 文 对 向 
v= {hn(B,1), (Bs),…, 有 (DB))} 进行 了 验证 ， 结 合 索引 信 
息 就 可 以 知道 数据 库 的 位 置 。 为 此 ， 伪 造 签名 不 能 通过 审计 痢 
检查 。 
3.5 多 副本 公共 审计 的 挑战 和 验证 过 程 
在 本 文 的 自 项 向 下 的 分 层 设置 中 ， 验 证 者 将 需 
万 (b.， ) 来 验证 审计 方程 ， 因 为 它 不 存储 在 多 副本 MHT 中 。 
这 里 本 文 讨论 如 何 一 次 性 对 一 组 副本 块 进行 验证 。 
a) 产 生 挑 战 操作 GenChallenge(Acc, pk, sigavrn): 第 
三 方 审计 员 TPA 以 给 定 准确 度 Acc 生成 挑战 消息 ， 并 发 送 授 
权 。 挑 战 信息 是 {Sigavzg 清太 站 ， 其 中 Si8Aorw 用 于 授 


i 


吕 


iel ” 
权 ， 了 是 为 验证 而 选择 的 随机 索引 集合 ，vV; ; 是 用 于 己 ， 的 人 
成 的 随机 数 。 

b) 产 生 证 据 操作 GenProof (pk, 下 ,中 ,chal) : 云 服务 
器 将 首先 验证 Si8g ywmz 。 那 么 对 于 每 个 副本 ， 它 将 计算 
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o;=11, Oy 和 RD ， 并 发 送 
; 7 


全 (Jo sig| 到 TPA。 

c) 验 证 操作 Verify( pk, P): 1 
构 ， 所 以 它 将 用 (办; ),62) 计算 尽 ， 并 且 对 第 站 个 选择 的 
块 验证 sis 。 此 外 ， 还 需要 通过 验证 是 否 
h(b,)=H(1]7(b,) 川 8 (5 )) 成立 米 验证 日 (b，) 


的 真实 性 ， 其 中 可 以 从 Q; 中 第 一 个 节点 层级 的 1( 有 hh ) 推断 出 


于 验证 者 知道 RST 的 结 
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1(b;;) 。 例如， 在 图 3 中 ， 如 果 设 置 复制 品 数 量 c 二 3， 那么 
(hh)=2(h 是 Q, 中 的 第 一 个 节点 )，! (及 )=2， 此 时 可 
l(b )=4. 71(b,,)=4 和 l(b,;)=3. 


以 很 容易 地 推 


如 果 这 个 验证 通过 ，TPA 将 认为 检索 到 的 万 (b, ) ) 是 真实 的 ， 
那么 它 可 以 通过 验证 以 下 等 式 来 验证 c 个 复制 品 : 

e(o,,8) =e(IT, H(b. a py), E [1,c] 。 

如 果 这 些 等 式 成 立 ， 则 验证 将 输出 “接受 ” 否则 输出 “ 拒 
绝 "。 
3.6 “安全 性 分 析 

本 节 对 本 文 方法 的 安全 性 进行 证 明 。 本 文 方案 的 安全 性 主 
要 是 基于 散 列 函数 的 抗 碰撞 性 ， 双 线性 Diffie-Hellman 问题 的 
难度 ， 以 及 所 用 签名 方案 的 不 可 伪造 性 。 下 面 对 本 文 方案 中 数 
据 更 新 认证 的 安全 性 假设 进行 证 明 。 

假设 ， 如 果 在 服务 器 执行 更 新 请 求 {Type,i, {Bb}} 中 
新 数据 内 容 或 索引 有 任何 错误 ， 那 么 客户 端 验证 将 失败 。 

证 明 服务 器 返回 RST 根 及 和 它 的 447 Q ,并 判断 是 
否 正确 ， 和 否则 及 的 验证 将 失败 。 
对 于 插入 和 修改 操作 ， 如 果 bi ) 被 错误 更 新 ， 那 么 
列 函 数 万 的 抗 碰撞 性 , 那么 及 和 RR' 将 会 被 错误 地 计算 。 根据 
Q, 在 整个 更 新 期 间 内 保持 相同 。 由 于 客户 有 正 
确 的 ;和 Q2, ,可 以 计算 正确 的 如 和 RR'。 为 此 客户 端的 值 如 
和 R' 与 反馈 值 不 同 ， 所 以 验证 会 失败 。 
对 于 删除 操作 , 一 旦 此 更 新 中 有 任何 错误 , 返回 的 h(b! ) 


MHT 的 性 质 ， 


将 不 正确 。 由 于 有 h(b') ) 包 含 在 Q(B 中， 如果 有 (by) ) 不 
正确 ， 客 户 将 能 识别 异常 

因此 ， 通 过 本 文 的 验证 方案 ， 客 户 端 将 能 够 检测 
于 意外 或 不 诚实 行为 而 导致 的 任何 故障 。 


4 ”损坏 定位 与 数据 恢复 


当 发 生 数据 损坏 时 ， 需 要 通过 其 他 数据 来 进行 数据 恢复 。 
在 完整 性 审计 中 ， 如 果 审 计 结 果 为 损坏 ， 则 需要 对 数据 进行 恢 
复 。 此 时 ， 用 户 向 CSP 发 送 定位 请 求 信息 ，CSP 通过 二 分 查找 
的 方式 来 定位 损坏 数据 块 的 位 置 。 在 找到 损坏 数据 块 的 位 置 后 ， 
只 要 7 个 副本 中 有 对 应 的 数据 块 没有 被 损坏 ， 则 可 以 通过 


到 更 新 中 


Shamir 秘密 共享 机 制 来 进行 恢复 假设 , 数据 块 副本 到 中 存在 


数据 损坏 ， 数 据 恢复 的 流程 如 下 描述 : 
a) 用 户 向 CSP 发 送 数据 恢复 请 求 。 
b)CCS 定位 损坏 数据 , 并 通过 完整 性 验证 检 况 


出 对 应 的 


完整 的 数据 块 己 


,.j，…5 bb, ) ， 并 将 其 发 送 给 用 户 。 


c) 用 户 根 据 Shamir 秘密 共享 机 制 ， 在 本 地 搜索 出 对 应 的 


ee 
汪 . 
x 
人 
人 
T 

Ht 
LDO 
家 
mms 
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Shamir 参数 和 


和 


d) 用 户 对 每 个 Shamir 参数 计算 Lagrange 插值 多 项 式 : 


Yam X 
L(0)= II ， 从 而 可 以 得 到 原始 数据 块 


nl<n ,tz! xX 


mre AOD 0s 


l=n 


e) 用 户 随机 选择 1,.…, Qj eZ， 并 从 {X01,X,…,X,} 
中 选择 ， 用 来 重新 计算 数据 块 m; 的 第 i 个 副本 


b, a Xr 
给 CSP 替换 掉 遭 受 损 坏 的 数据 块 。 


十 :十 QI 万 十 00) ， Qo;=m,. 并 将 其 发 送 


5 ”实验 及 分 析 


5.1 实验 环境 

本 文 构建 一 个 云 计 算 环境 用 来 进行 实验 。 每 个 计算 节点 上 
安装 了 Linux 操作 系统 。 在 虚拟 化 数据 中 心安 装 Hadoop 以 方 
便 实现 MapReduce 编程 模型 和 分 布 式 文件 系统 121。 此 外 ,还 安 
装 了 OpenStack 开源 云 平台 、 负 责 全 局 管理 、 资 源 调度 、 任 务 
分 配 以 及 与 用 户 的 交互 。 云 平台 共 具 有 36 个 CPU 核心 , 32 GB 
RAM 和 1 TB 存储 的 虚拟 机 。 
5.2 性 能 评估 

将 本 文 提出 的 基于 多 副本 MHT 的 数据 验证 方法 (MR- 
MHT) 与 文献 [7] 提 出 的 基于 BLS 签名 和 MHT 的 动态 数据 验证 
方案 (BLS-MHT)， 在 更 新 验证 过 程 的 通信 和 存储 成 本 方面 进行 
比较 ,。 其中, BLS-MHT 是 一 种 具有 独立 索引 副本 的 动态 公众 审 
计 的 方案 。 使 用 1GB 随机 生成 的 数据 集 进 行 测 试 ， 副 本 为 
b; 二 1 ;十 7; 。BLS 参数 选择 为 80 位 ， 即 G 的 阶 数 长 度 
为 160 位 。 另 外 ， 为 了 简化 过 程 ， 设 定 每 块 的 扇 区 数 为 8S=1 
和 8 三 10 两 种 情况 。 
先 ， 本 文 测试 了 不 同 副 本 数量 C 和 块 大 小 8 值 下 数据 修 
改 、 插 入 和 删除 操作 的 数据 传输 开销 ， 结 果 如 图 6 所 示 。 可 以 
看 出 ，BLS-MHT 的 数据 传输 开销 将 随 着 数据 副本 数量 的 增加 
而 迅速 增加 。 对 于 块 插入 和 修改 , 需要 上 传 新 的 数据 块 。 因 此 ， 
总 传输 开销 会 随 着 的 增加 而 增加 。 但 MR-MHT 的 数据 传输 开 
销 要 显著 小 于 BLS-MHT。 
在 删除 操作 中 ， 由 于 没有 数据 上 传 过 程 ， 所 以 在 不 同 的 8 
值 下 , 两 种 方法 的 总 传输 开销 保持 不 变 。 无 论 哪 种 情况 , 与 BLS- 
MHT 相 比 ，MR-MHT 中 更 新 验证 的 传输 开销 始终 具有 显著 优 
势 。 
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(b) s=10 
图 6 不 同 8 时 一 个 块 验证 更 新 的 总 通信 
然后 , 对 于 动态 完整 性 数据 审计 的 存储 开销 和 通信 开销 进 


分 析 。 虽 然 认证 者 总 数 保持 不 变 , 但 本 文中 只 有 一 个 MHT, 而 
不 是 BLS-MHT 中 的 C 个 MHT。 轿 
副本 数量 下 ， 在 服务 器 端 


的 额外 存储 开 


7 给 出 了 s = 二 10 时 ， 不 同 


4000 
3500 
BLS-MHT 
3000 
和 ~ MR-MHT 
2 2500 
量 2000 1] 
二 
坦 1500 
1000 
500 | | = 
0 T T T T T T T T 1 
名 a 4 3 6 有 8 9 10 
副本 数量 
图 8 审计 所 有 副本 的 通信 开销 。 


从 这 些 分 析 和 实验 结果 可 以 看 出 , MR-MHT 方案 在 审计 具 


有 多 个 副本 的 云 存储 方面 具有 显著 的 优势 。 公 开 审 计 的 执行 不 
受 数据 内 容 的 影响 。 因 此 ， 文 件 块 大 小 ，8 值 和 副本 数量 是 影 
响 整 体 性 能 的 主要 因素 。 

6 ”结束 语 


本 文 提出 了 一 种 基于 多 副本 MHT 的 新 型 公共 审计 方案 


(MR-MHT)。 引 入 了 一 种 基于 MHT 的 新 型 认证 数据 结构 ， 树 


本 块 组 织 成 相同 的 副本 子 树 。 因 此 ， 
动态 的 数据 更 新 、 块 索引 验证 和 多 个 副本 的 高 效 验证 。 理 论 分 
析 和 实验 结果 表明 ， 与 


序 生成 ， 并 将 数据 块 的 所 有 副 
该 方案 可 以 同时 支持 完全 


层级 值 以 自 顶 向 下 的 顺 


岗 有 的 完整 性 验证 方案 相 比 ， 本 文 MR- 


销 ， 以 支持 公共 审计 和 


数据 动态 更 新 。 可 以 看 出 ， 当 存在 多 个 副本 时 ，MR-MHT 的 额 


外 存 


嵌 成 本 会 大 大 降低 。 


图 8 给 出 了 s=10 


时 ， 多 副本 验 


证 的 通信 开销 。 可 以 看 


到 ，MR-MHT 方案 优 于 BLS-MHT。 男 外 ， 随 着 副本 数量 的 增 


长 , MR-MHT 中 | 


于 验证 


所 有 副本 的 通 


信 开 销 与 验证 单个 副本 


相当 ， 而 BLS-MHT 的 开销 则 成 倍增 长 。 例 如 ， 当 c = 3 时 ， 


使 ) 


] MR-MHT 验证 所 有 5 个 副本 
本 (c= 二 1) 多 27%， 而 BLS-MHT 
MHT 方案 不 仅 对 于 动 


更 新 时 也 具有 良好 效果 。 


的 通信 量 比 仅仅 验证 1 个 副 


却 多 了 
态 数据 的 验证 有 效 , 而 且 在 进行 多 次 副本 


390% 。 因 此 ，MR- 


2000 
男 BLS-MHT 
— 1500 
MR-MHT 
深 
记 1000 上 
志 
500 | | 上 E 
0 | i 
2 3 4 5 6 7 8 9 10 


副本 数量 


加 


7 服务 器 端的 存储 7 


开销。 


MHT 方案 能 够 实现 对 具有 多 个 副本 的 云 数 据 集 进 行 完整 性 验 
证 ， 具 有 更 少 的 通信 和 存储 开销 。 
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